脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律
一丶什么是ESP定律
首先我们要明白什么是壳.壳的作用就是加密PE的....二丶利用工具脱掉ASPACK2.12的壳
首先,我们找一个带壳的工具,利用PEID查壳.查看是什么壳.
?
OD附加进程.
?...思路:
因为pushad的时候,所有寄存器传参,当popad的时候,肯定会修改寄存器的值
所以在栈中下硬件访问或者硬件写入断点.
先F8走一步,看栈
?...(保存寄存器的栈地址,随便哪个都可以)然后下硬件访问断点.
?
我是定位到栈顶的位置,12ffa8的位置,当然也可以是下边的.
下硬件访问或者硬件写入断点.
?
然后F9运行起来.发现会断下来.
?...这个地方则是出来的地方,那么ASPack的壳有一个特征,就是出来之后会跳转,然后有两个ret
因为程序是32位程序,所以我们要放到32位的虚拟机里面去脱壳.